下载文档原格式
公司网络信息安全管理办法一、总则随着信息技术的迅速发展,公司对网络的依赖程度日益加深。
为保障公司网络信息的安全、稳定和可靠运行,保护公司的商业秘密和知识产权,特制定本管理办法。
二、适用范围本办法适用于公司所有使用公司网络资源的员工、部门和合作伙伴。
三、管理原则1、安全第一原则:将网络信息安全置于首位,确保公司业务的正常开展和信息资产的保护。
2、合规性原则:遵守国家法律法规、行业规范和公司内部规定,确保网络信息安全管理的合法性和规范性。
3、全员参与原则:网络信息安全是全体员工的共同责任,需要每个人积极参与和配合。
四、组织与职责1、成立网络信息安全领导小组,负责制定公司网络信息安全策略和规划,审批重大网络信息安全事项。
2、设立网络信息安全管理部门,负责具体实施网络信息安全管理工作,包括制定安全制度、组织安全培训、监测安全状况、处理安全事件等。
3、各部门应指定专人负责本部门的网络信息安全工作,配合网络信息安全管理部门落实各项安全措施,对本部门员工进行安全教育和管理。
五、员工网络信息安全管理1、员工入职时应签订网络信息安全承诺书,明确遵守公司网络信息安全规定的责任和义务。
2、员工应妥善保管个人的账号和密码,不得泄露或转借他人使用。
定期修改密码,密码应具有一定的复杂性。
3、员工不得在公司网络上从事与工作无关的活动,如玩游戏、观看视频、下载非法软件等。
4、员工应遵守公司的信息保密制度,不得泄露公司的商业秘密、客户信息、技术文档等敏感信息。
对于工作中接触到的敏感信息,应采取必要的保密措施,如加密存储、限制访问等。
5、员工离职时,应及时清理个人在公司网络上的工作文件和数据,并交还相关的工作设备和资源。
六、网络设备与系统管理1、公司的网络设备和系统应定期进行维护和更新,确保其安全稳定运行。
2、对网络设备和系统的访问应进行严格的权限管理,只有经过授权的人员才能进行操作和管理。
3、定期对网络设备和系统进行安全扫描和漏洞检测,及时发现和修复安全漏洞。
第一章总则第一条为加强电网公司网络安全管理,保障公司网络系统安全稳定运行,预防网络攻击、病毒入侵等安全事件,根据国家有关法律法规和行业标准,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有网络设备、网络系统、网络应用以及与网络安全相关的各项工作。
第三条公司网络安全管理工作遵循以下原则:(一)预防为主、防治结合;(二)统一领导、分级管理;(三)安全可靠、持续改进。
第二章组织机构与职责第四条公司成立网络安全领导小组,负责公司网络安全工作的总体规划和决策。
第五条网络安全领导小组下设网络安全办公室,负责公司网络安全日常管理工作。
第六条各部门、单位应设立网络安全管理岗位,负责本部门、本单位的网络安全工作。
第七条网络安全办公室的主要职责:(一)制定公司网络安全管理制度、技术规范和操作规程;(二)组织网络安全培训和宣传;(三)负责网络安全事件应急处理;(四)定期对公司网络安全进行评估和检查;(五)协调解决网络安全问题。
第八条各部门、单位的主要职责:(一)执行公司网络安全管理制度和技术规范;(二)开展网络安全培训和宣传;(三)定期对本部门、本单位的网络安全进行检查;(四)发现网络安全问题及时报告;(五)配合网络安全办公室开展网络安全工作。
第三章网络安全措施第九条网络安全设施建设:(一)公司网络设备应符合国家相关标准,具备安全防护功能;(二)网络系统应采用加密、认证、访问控制等技术手段,确保数据传输安全;(三)网络应用系统应定期进行安全评估和漏洞修补。
第十条网络安全防护:(一)加强网络设备管理,定期检查、维护和更新;(二)加强网络用户管理,严格执行用户身份认证和访问控制;(三)定期对网络进行安全扫描和漏洞检测,及时修复安全漏洞;(四)建立网络安全事件应急响应机制,及时处理网络安全事件。
第十一条数据安全:(一)建立数据备份制度,定期对重要数据进行备份;(二)对敏感数据进行加密存储和传输;(三)建立数据访问控制机制,确保数据安全。
一、总则为了加强公司办公室信息安全管理工作,确保公司信息资源的安全,维护公司利益,特制定本制度。
二、适用范围本制度适用于公司所有员工及其办公场所,包括但不限于办公电脑、移动存储设备、网络设备等。
三、信息安全责任1. 公司全体员工应充分认识到信息安全的重要性,提高信息安全意识,自觉遵守信息安全管理制度。
2. 各部门负责人对本部门信息安全工作负直接责任,应建立健全信息安全管理体系,确保信息安全。
3. IT部门负责公司信息安全的总体规划和实施,负责信息安全制度的制定、宣传、培训和监督执行。
四、信息安全管理制度1. 计算机设备管理(1)员工应使用公司指定的办公电脑,不得私自连接外部设备。
(2)禁止在公司电脑上安装、运行非法软件和程序。
(3)定期对电脑进行病毒查杀和系统更新,确保电脑安全。
2. 移动存储设备管理(1)使用公司指定的移动存储设备,不得使用非公司指定的存储设备。
(2)对存储设备进行加密,确保数据安全。
(3)禁止将公司敏感信息存储在非公司指定的存储设备上。
3. 网络安全(1)使用公司指定的网络设备,不得私自连接外部网络。
(2)禁止在公司网络进行非法活动,如下载、传播、传播病毒等。
(3)定期对网络设备进行安全检查,确保网络安全。
4. 信息安全培训(1)公司每年至少组织一次信息安全培训,提高员工信息安全意识。
(2)新员工入职前,应接受信息安全培训,了解公司信息安全管理制度。
5. 信息安全事件处理(1)发生信息安全事件时,应立即向IT部门报告。
(2)IT部门接到报告后,应立即启动应急响应机制,调查事件原因,采取措施防止事件扩大。
五、监督与检查1. IT部门负责对公司信息安全管理制度执行情况进行监督检查。
2. 各部门负责人应定期对本部门信息安全工作进行自查,发现问题及时整改。
六、奖惩1. 对遵守信息安全管理制度,积极维护公司信息安全工作的员工给予表彰和奖励。
2. 对违反信息安全管理制度,造成公司信息安全事件的责任人,依法依规追究责任。
国网公司保密安全要求1. 前言随着信息化技术的快速发展,网络安全问题日益引起人们的重视。
为了保证国家电网公司的信息安全和保密工作,特制定本保密安全要求文档。
2. 保密安全要求2.1 信息管理1.国网公司应建立健全信息管理制度,进行信息资料的全面归档和管理,确保信息资料的机密性、完整性和可用性。
2.信息资料的存储应采用加密技术和其他保密措施,防止信息资料被恶意获取或窃取。
3.国网公司应保护安全的信息渠道,防止外部渗透,保障电网信息的安全。
2.2 设备管理1.国网公司应建立健全设备管理制度,明确设备使用和维护的责任,并加强对设备的监管。
2.对于涉及到国网信息的设备应进行专门的安全加固,确保设备使用的安全性。
3.对于报废的设备应进行妥善处理,防止其泄露关键信息或被第三方利用。
2.3 人员管理1.国网公司应对员工进行全面的资格审查,确保员工的背景情况真实,并严格遵守保密协议。
2.员工在办公场所使用电脑应提高警惕,防止在未经许可的情况下将重要信息发放给不可信的人员。
3.员工在离岗前应关机或注销电脑账户,加强对电脑的物理保护,避免信息泄露。
2.4 入侵防范1.国网公司应采用防病毒软件,确保系统及程序的安全性,并及时对数据进行备份。
2.国网公司应对系统进行合理配置,提高系统的安全性,确保系统稳定运行。
3.制定安全策略并实施,加强安全管理,包括口令设置、权限管理等等。
3. 总结本文档列出了国网公司在信息管理、设备管理、人员管理和入侵防范方面应采取的重要的保密措施。
这些措施在保证电网信息安全和保密工作方面起着至关重要的作用。
希望国网公司能够严格按照这些措施来保护关键信息安全,并不断加强安全意识和安全管理,确保保密工作的有效实施。
电力行业网络与信息安全管理办法第一章总则第一条为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章监督管理职责第四条国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。
国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;(二)组织制定电力行业网络与信息安全的发展战略和总体规划;(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;(七)组织开展电力行业网络与信息安全的技术研发工作;(八)电力行业网络与信息安全监督管理的其它事项。
第三章电力企业职责第六条电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
一、总则为了加强公司办公电脑的安全管理,保障公司信息资源的安全,防止计算机病毒和网络攻击,确保公司业务正常开展,特制定本制度。
二、适用范围本制度适用于公司所有使用办公电脑的员工,包括但不限于管理人员、技术人员、业务人员等。
三、安全管理制度1. 硬件设备管理(1)办公电脑的购置、安装、维修、报废等,需经过相关部门审批,并报备信息技术部门。
(2)办公电脑应定期检查,确保硬件设备完好,无损坏。
(3)禁止私自带入非公司指定品牌或型号的电脑设备。
2. 软件管理(1)办公电脑操作系统、办公软件、杀毒软件等,由信息技术部门统一安装、升级和维护。
(2)员工不得随意安装、卸载软件,如需安装,需经信息技术部门批准。
(3)禁止使用非法软件,不得从非官方渠道下载软件。
3. 网络安全(1)办公电脑应连接公司内部网络,禁止连接不明来源的无线网络。
(2)员工不得在办公电脑上安装、使用具有安全风险的软件,如远程控制软件、P2P软件等。
(3)定期对办公电脑进行病毒查杀,确保系统安全。
4. 信息安全(1)员工应妥善保管个人账号和密码,不得将账号和密码透露给他人。
(2)不得使用办公电脑进行与工作无关的私人活动,如炒股、购物等。
(3)不得将公司敏感信息泄露给外部人员。
5. 数据备份与恢复(1)信息技术部门应定期对办公电脑中的重要数据进行备份,确保数据安全。
(2)在数据丢失或损坏的情况下,信息技术部门应尽快恢复数据。
6. 应急预案(1)遇到计算机病毒、网络攻击等安全事件,员工应立即报告给信息技术部门。
(2)信息技术部门应根据实际情况,采取相应措施,确保公司业务正常开展。
四、责任与奖惩1. 各部门负责人应加强对本部门办公电脑的安全管理,确保制度落实。
2. 员工违反本制度,将按照公司相关规定进行处罚。
3. 对在办公电脑安全管理工作中表现突出的员工,公司将给予表彰和奖励。
五、附则1. 本制度由信息技术部门负责解释。
2. 本制度自发布之日起实施,原有相关规定与本制度不一致的,以本制度为准。
办公计算机管理办法6篇办公计算机管理办法 (1) 为进一步加强对各部门电脑使用的管理规定,提高其使用效能,确保公司电脑的运行安全,特制定本规定。
一、各部门电脑由公司统一配置并定位,任何部门和个人未经公司同意不允许私自挪用、调换、外借和移动电脑。
二、各部门每台电脑都要由专人负责保管,电脑硬件及其配置由设备管理部登记存挡。
三、电脑损坏保管人应以报告形式将损坏原因及情况上报公司领导,不允许将私人配件用于公司电脑。
四、电脑发生故障时应通知设备管理部检修,不允许私自打开电脑主机箱操作。
五、全体员工应爱惜电脑,按照正常程序操作,如因违规操作使电脑不能正常使用的,由使用人承担相应损失的赔偿责任。
六、公司电脑只能用于办公学习,严禁在工作时间内利用电脑干与工作无关的事情,一经发现,公司将严肃处理。
七、任何人不得利用公司网络制作、复制、查阅和传播宣传封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的内容。
八、电脑使用人下班时必须将电脑关闭,如人为责任造成的损坏,由责任人负责。
九、本规定从二0xx年六月四日起执行。
办公计算机管理办法 (2) 保留区是为未来开发利用水资源预留和保护的水域。
保留区应当控制经济社会活动对水的影响,严格限制可能对其水量、水质、水生态造成重大影响的活动。
办公计算机管理办法 (3) 司法部外事工作管理办法为进一步加强对司法行政系统外事工作(以下简称司法外事工作)的领导和管理,根据中共中央、国务院《关于全国外事管理工作的若干规定》(中发(20xx)17号)确定的外事管理工作基本原则和有关精神,制定本办法。
一、司法行政系统外事工作的管理体制(一)司法外事工作包括司法部机关、司法部直属单位和各省、自治区、直辖市司法厅(局)(以下简称各司法厅(局))的外事工作。
(二)司法外事工作实行统一领导、归口管理、分级负责、协调配合的原则。
司法部行使司法行政系统的外事管理权。
(三)司法部司法协助外事司是司法部管理司法外事工作的职能部门,按照中央有关规定和司法部授权行使部分外事审批权。
计算机信息安全管理制度计算机信息安全管理制度第一章总则第一条为保证公司信息系统的安全和稳定运行,维护公司信息资产的安全性,依据《中华人民共和国计算机信息系统安全保护条例》和有关法律、法规,结合公司的实际情况,制定本制度。
第二条本制度适用于公司内所有计算机信息系统的管理和使用,包括但不限于计算机、服务器、网络设备、存储设备等。
第三条本制度的目的是:(一)规范计算机信息系统的管理和使用行为,保证信息系统安全和稳定运行,维护公司信息资产的安全性;(二)建立信息安全管理制度体系,明确信息安全责任和实施机制;(三)加强信息安全培训和监督,提高信息安全意识和能力。
第二章信息安全保障机制第四条公司应当建立和完善信息安全管理制度体系。
设立信息安全委员会,确定信息安全政策和控制措施,并对信息安全管理制度进行审查和更新。
第五条公司要设立信息安全管理机构,负责信息安全管理和技术支持。
信息安全管理机构应当有足够的技术能力和管理能力,对信息系统进行全面保护。
信息安全管理机构应当设立信息安全管理岗位,明确人员职责。
第六条公司应当区分信息的重要性并采取相应的信息管理措施,确保重要信息的保密性、完整性和可用性。
公司应当根据信息的重要性,制定信息分类制度,并对信息进行加密处理和存储备份。
第七条公司应当建立健全防范信息安全事故的紧急预案和处置方案,定期进行演练和测试,提高应急响应能力。
第八条公司应当利用先进的技术手段和方法,对信息进行持续监控和检测,防范信息泄漏、攻击和破坏等安全事件。
第三章信息安全责任第九条公司应当明确信息安全责任制度,对信息安全管理机构、信息系统用户和其他相关方面的信息安全责任人进行具体划分。
第十条信息安全管理机构负责:(一)制定信息安全管理制度体系,并确保其执行;(二)监督和检查信息系统的安全运行;(三)对信息系统进行安全评估和风险控制;(四)对信息安全事件进行处理和应急响应;(五)其他与信息安全管理相关的事宜。
电力行业网络与信息安全管理办法范本一、总则为加强电力行业的网络与信息安全管理工作,保障电力供应的连续稳定运行,推动信息化建设与电力事业的融合发展,制定本办法。
二、基本原则1. 安全第一原则:网络与信息安全工作必须以保障电力系统运行安全为核心,确保电力供应的连续稳定。
2. 综合治理原则:网络与信息安全工作要贯穿整个电力系统的运行和管理过程。
3. 风险管理原则:针对可能出现的安全隐患和威胁,进行风险评估和应对措施,在全面掌握风险状况的基础上,防患于未然。
三、网络与信息安全管理机构1. 设立网络与信息安全管理委员会,负责协调、指导电力行业的网络与信息安全管理工作。
2. 设立网络与信息安全管理办公室,具体负责电力行业的网络与信息安全管理工作的日常运行和协调。
四、网络与信息安全责任体系1. 明确网络与信息安全管理的主体责任和各层级的责任划分。
2. 各级管理者要加强自身网络安全意识和能力培养,确保网络系统的安全可靠运行。
3. 建立信息安全责任追究制度,对违反安全管理规定的责任人进行相应处罚。
五、网络与信息安全管理措施1. 建立网络安全审计制度,定期对电力行业的网络系统进行安全检测和评估。
2. 加强对计算机操作系统的监控和管理,及时发现并处理潜在的安全问题。
3. 对涉密信息进行密级管理,并建立相应的信息安全保护措施。
4. 加强电力行业的网络边界防护,建立防火墙和入侵检测系统,阻止未经授权的访问。
5. 建立安全日志管理制度,记录网络操作和事件,并保存一定时间以备审计和溯源。
6. 加强网络安全教育和培训,提高员工的安全意识和安全防护能力。
六、应急预案与演练1. 制定网络与信息安全事件应急预案,明确各级人员的责任和应对措施。
2. 进行网络与信息安全事件的模拟演练,提高应急处理的能力和效率。
3. 对网络与信息安全事件进行及时的处置和跟踪,防止事态扩大和后续影响。
七、监督与检查1. 建立网络与信息安全的监督、检查和考核机制,确保安全管理措施的有效执行。
计算机信息安全管理制度一、总则1.1 为了加强计算机信息安全管理,保障计算机信息系统的安全运行,保护国家利益、社会公共利益以及公民、法人和其他组织的合法权益,根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规,制定本制度。
1.2 本制度适用于公司所有计算机信息系统的安全管理工作。
1.3 公司应当建立健全计算机信息安全管理制度,明确计算机信息安全管理的责任和义务,确保计算机信息系统的安全运行。
二、组织机构与职责2.1 公司成立计算机信息安全领导小组,负责指导、协调和监督计算机信息系统的安全工作。
2.2 计算机信息安全领导小组下设计算机信息安全管理部门,负责计算机信息系统的安全管理工作。
2.3 各部门应当指定一名计算机信息安全管理员,负责本部门计算机信息系统的安全管理工作。
2.4 计算机信息安全管理部门的主要职责包括:(1)制定计算机信息安全管理制度和操作规程;(2)组织实施计算机信息安全教育和培训;(3)对计算机信息系统进行安全检查和评估;(4)处理计算机信息安全事件;(5)协助公安机关查处计算机违法犯罪案件。
三、计算机信息系统的安全管理3.1 计算机信息系统的安全等级保护3.1.1 公司应当根据计算机信息系统的安全等级,采取相应的安全保护措施。
3.1.2 计算机信息系统的安全等级分为三级:一级、二级、三级。
3.1.3 一级计算机信息系统的安全保护措施包括:(1)建立健全计算机信息系统的安全管理制度;(2)对计算机信息系统进行定期的安全检查和评估;(3)采取必要的技术措施,防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为;(4)对计算机信息系统进行定期的备份和恢复。
3.1.4 二级计算机信息系统的安全保护措施包括:(1)一级计算机信息系统的安全保护措施;(2)建立计算机信息系统的安全审计制度,对计算机信息系统的操作进行记录和监控;(3)对计算机信息系统进行定期的安全培训和演练。
规章制度编号:国网(信息/3)255-2014 国家电网公司办公计算机信息安全管理办法
第一章总则
第一条为加强国家电网公司(以下简称“公司”)办公计算机信息安全管理,依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《中华人民共和国计算机信息系统安全保护条例》、《信息系统安全等级保护基本要求》和《中央企业商业秘密信息系统安全技术指引》制定本办法。
第二条本办法是对公司信息内外网办公用台式机、笔记本和云终端等办公计算机及其外设信息安全管理的职责及管理要求做出的具体规定。
(一)信息内外网办公计算机分别运行于信息内网和信息外网;
(二)信息内网定位为公司信息业务应用承载网络和内部办公网络;
(三)信息外网定位为对外业务应用网络和访问互联网用户终端网络;
(四)公司信息内外网执行等级防护、分区分域、逻辑强隔离、双网双机策略。
1 / 8
第三条本办法适用于公司总(分)部、各单位及所属各级单位(含全资、控股、代管单位)(以下简称“公司各级单位”)。
第四条国家电网公司办公计算机信息安全管理遵循“涉密不上网、上网不涉密”的原则。
严禁将涉及国家秘密的计算机、存储设备与信息内外网和其他公共信息网络连接,严禁在信息内网办公计算机上处理、存储国家秘密信息,严禁在信息外网办公计算机上处理、存储涉及国家秘密和企业秘密信息,严禁信息内网和信息外网办公计算机交叉使用。
第二章职责分工
第五条公司办公计算机信息安全工作按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,公司各级单位负责人为本部门和本单位办公计算机信息安全工作主要责任人。
第六条公司各级单位信息通信管理部门负责办公计算机的信息安全工作,按照公司要求做好办公计算机信息安全技术措施指导、落实与检查工作。
第七条办公计算机使用人员为办公计算机的第一安全责任人,未经本单位运行维护人员同意并授权,不允许私自卸载公司安装的安全防护与管理软件,确保本人办公计算机的信息安全和内容安全。
第八条公司各级单位信息通信运行维护部门负责办公计
2 / 8
算机信息安全措施的落实、检查实施与日常维护工作。
第三章办公计算机管理要求
第九条办公计算机要按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级,实施必要的安全防护措施。
信息内网办公计算机部署于信息内网桌面终端安全域,信息外网办公计算机部署于信息外网桌面终端安全域,桌面终端安全域要采取安全准入管理、访问控制、入侵监测、病毒防护、恶意代码过滤、补丁管理、事件审计、桌面资产管理、保密检测、数据保护与监控等措施进行安全防护。
第十条加强办公计算机信息安全管理:
(一)办公计算机、外设及软件安装情况要登记备案并定期进行核查,信息内外网办公计算机要明显标识;
(二)严禁办公计算机“一机两用”(同一台计算机既上信息内网,又上信息外网或互联网);
(三)办公计算机不得安装、运行、使用与工作无关的软件,不得安装盗版软件;
(四)办公计算机要妥善保管,严禁将办公计算机带到与工作无关的场所;
(五)禁止开展移动协同办公业务;
(六)信息内网办公计算机不能配置、使用无线上网卡等无线设备,严禁通过电话拨号、无线等各种方式与信息外网和互联
3 / 8
网络互联,应对信息内网办公计算机违规外连情况进行监控;
(七)公司办公区域内信息外网办公计算机应通过本单位统一互联网出口接入互联网;严禁将公司办公区域内信息外网办公计算机作为无线共享网络节点,为其它网络设备提供接入互联网服务,如通过随身Wifi等为手机等移动设备提供接入互联网服务;
(八)接入信息内外网的办公计算机IP 地址由运行维护部门统一分配,并与办公计算机的MAC地址进行绑定;
(九)定期对办公计算机企业防病毒软件、木马防范软件的升级和使用情况进行检查,不得随意卸载统一安装的防病毒(木马)软件;
(十)定期对办公计算机补丁更新情况进行检查,确保补丁更新及时;
(十一)定期检查办公计算机是否安装盗版办公软件;
(十二)定期对办公计算机及应用系统口令设置情况进行检查,避免空口令,弱口令;
(十三)采取措施对信息外网办公计算机的互联网访问情况进行记录,记录要可追溯,并保存六个月以上;
(十四)采取数据保护与监管措施对存储于信息内网办公计算机的企业秘密信息、敏感信息进行加解密保护、水印保护、文件权限控制和外发控制,同时对文件的生成、存储、操作、传输、外发等各环节进行监管;
4 / 8
(十五)加强对公司云终端安全防护,做好云终端用户数据信息访问控制,访问权限应由运行维护部门统一管理,避免信息泄露;
(十六)采用保密检查工具定期对办公计算机和邮件收发中的信息是否涉及国家秘密和企业秘密的情况进行检查;
(十七)加强对办公计算机桌面终端安全运行状态和数据级联状态的监管,确保运行状态正常和数据级联贯通,按照公司相关要求及时上报运行指标数据;
(十八)加强数据接口规范,严禁修改、替换或阻拦防病毒(木马)、桌面终端管理等报送监控数据接口程序。
第十一条公司各级单位要使用公司统一推广的计算机桌面终端管理系统,加强对办公计算机的安全准入、补丁管理、运行异常、违规接入安全防护等的管理,部署安全管理策略,进行安全信息采集和统计分析。
第四章外设管理要求
第十二条严禁扫描仪、打印机等计算机外设在信息内网和信息外网上交叉使用;严禁采用非公司安全移动存储介质拷贝信息内网信息。
第十三条计算机外设要统一管理,统一登记和配置属性参数。
第十四条严禁私自修改计算机外设的配置属性参数。
如需修改,必须报知运行维护部门,按照相关流程进行维护。
5 / 8
第十五条计算机外设的存储部件要定期进行检查和清除。
第十六条加强安全移动存储介质管理
(一)公司安全移动存储介质主要用于涉及公司企业秘密信息的存储和内部传递,也可用于信息内网非涉密信息与外部计算机的交互,不得用于涉及国家秘密信息的存储和传递;
(二)安全移动存储介质的申请、注册及策略变更应由人员所在部门负责人进行审核后交由本单位运行维护部门办理相关手续;
(三)应严格控制安全移动存储介质的发放范围及安全控制策略,并指定专人负责管理;
(四)安全移动存储介质应当用于存储工作信息,不得用于其它用途。
涉及公司企业秘密的信息必须存放在安全移动存储介质的保密区,不得使用普通存储介质存储涉及公司企业秘密的信息;
(五)禁止将安全移动存储介质中涉及公司企业秘密的信息拷贝到信息外网或外部存储设备;
(六)应定期对安全移动存储介质进行清理、核对;
(七)安全移动存储介质的维护和变更应遵循本办法的第五章相关条款执行。
第十七条涉及国家秘密安全移动存储介质的安全管理按照公司有关保密规定执行。
6 / 8
第五章维护和变更要求
第十八条办公计算机及外设需进行维护时,应由本单位对办公计算机和外设中存储的信息进行审核,通过本单位负责人的审批后报送运行维护部门进行维护。
第十九条办公计算机及外设在变更用途,或不再用于处理信息内网信息,或不再使用,或需要数据恢复时,要报运行维护部门,由运行维护部门负责采取安全可靠的手段恢复、销毁和擦除存储部件中的信息,原则上禁止通过外部单位进行数据恢复、销毁和擦除工作。
第六章人员管理要求
第二十条加强对办公计算机使用人员的管理,开展经常性的信息安全教育培训,提高办公计算机使用人员的信息安全意识与技能。
第二十一条加强外来人员和第三方人员对办公计算机使用的管理,对外来人员和第三方人员使用办公计算机进行审批,加强外来人员和第三方人员使用办公计算机的监督与审计。
第二十二条办公计算机及外设使用人员离岗离职,人员所在原部门不得对其办公计算机及外设擅自进行处理,要及时报运行维护部门对存储的企业秘密信息、敏感信息进行清理后清退至固定资产管理部门,并取消离岗离职人员办公计算机及应用系统的访问权限。
7 / 8
第七章检查考核
第二十三条应建立常态检查机制,同时辅以不定期抽查,及时发现问题并督促整改。
第二十四条违反本办法情节较轻的由本单位予以批评教育,情节严重的按公司相关规定进行处理。
第八章附则
第二十五条本办法由国网信通部负责解释并监督执行。
第二十六条本办法自2014年6月1日起施行。
原《国家电网公司办公计算机信息安全和保密管理规定》(国家电网信息[2009]434号)同时废止。
8 / 8。
